第章计算机系统安全概论ppt课件.ppt

1、

,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,*,计算机系统安全概论,E-mail:,内容提要,计算机信息系统安全,相关概念及发展,计算机系统安全问题的产生,计算机系统安全防护的基本原则,计算机系统安全研究的内容,研究信息系统安全性的背景,需求驱动,个人层面,个人信息，隐私保护,个人经济利益保护,等等,社会层面,社会生活各个层面,经济,等等,国家层面,国家安全,国家实力,等等,信息安

2、全的发展现状,2006,年，信息产业成为世界第一大产业。,2011,年，,apple,公司的市值世界第一，等于,165,个国家的,GDP,总和。,信息安全成为综和国力，经济竞争的重要组成部分。,美国的战略部署,2011,年,5,月,16,日，美国公布网络空间国际战略。首次将网络空间从美国本土拓展到全球。,2011,年,7,月,14,日，美国国防部公布了网络空间实战战略。,影响全球的信息安全事件,棱镜计划,2013年，棱镜计划曝光斯诺登和整个世界的麻烦。,“9.11”恐怖袭击之后，美国政府认为整个世界都是不安全的，对其认为有恐怖倾向的国家和组织尽可能进行信息监控。,监控重点放在美国境内，但不属于

3、美国国籍的“敏感人士”。,棱镜计划（续）,美国国家安全局（,NSA,）要求电信巨无霸,Verizon,公司每天需按,NSA,列出的名单上交一份涉及众多,政界,、,商界知名人士,和被怀疑,有犯罪倾向用户,的通话记录，涉及人数达数百万之巨。,这些数据将作为公职人员操守的证明和犯罪人员的犯罪取证,。,棱镜计划（续）,硅谷的信任危机,在过去六年时间里，,NSA,和,FBI,以政府的名义要求微软、谷歌、苹果、雅虎、,Facebook,、,Twitter,等九大,IT,产品供应商对其开放服务器接口，由此监控美国公民的 电子邮件、聊天记录、视频照片等秘密资料。,任何美国平民，或经由美国网络服务器的电子邮件，

4、或者哪怕是一个来自越洋电话的问候，都有可能成为被监控的对象，包括每一部苹果手机的通话，都有可能被监听。,美国对全球通信的控制地位,全球一共有,13,个根域名服务器，连接全世界的互联网，美国本土内拥有,10,个。,从理论上美国可以监控全球的通信，可以通过间谍手段猎取其中的部分甚至全部信息。,美国政府每年花费近,50,多亿美元用于根服务器的维护和运行，承担了世界上最繁重的网络任务和最巨大的网络风险。因此可以实事求是地说：,没有美国，互联网将是死灰一片。,计算机信息系统相关概念及发展,计算机信息系统的概念,由计算机及其相关配套设备、设施（含网络）构成的，按照一定的应用目标和规格对信息进行采集、加工、

5、存储、传输、检索等处理的人机系统。计算机信息系统安全保护等级划分标准,计算机的概念,安全的理解,具有相对性,安全的含义,对有价物品的保护,有价物品的表现形式,有形的物体：钱、黄金、珠宝,信息,其他形式：商标、声誉,对信息的保护与对钱财保护的区别,规模和可移动性,避免物理接触的能力,资源的价值,人们对信息安全的意识,掩盖入侵真相，担心形象受损：银行,法律上的障碍：取证、认定,思想上的轻视：认为是恶作剧、轻视黑客的能力,计算机系统安全的属性（需求）,任何与计算机相关的系统都存在理论上或实际上的弱点。,计算机信息系统的安全需求,：,保密性,完整性,可用性,可控性,不可抵赖性,其他属性：可存活性、可认

6、证性、可审查性,计算机安全属性（需求）,保密性（Confidentiality）,有时也称为机密性（secrecy）或私密性（privacy）。,指确保计算机的相关资源仅被合法用户访问，即只有授权用户和系统才能访问被保护的数据。,访问（access）是指：可读、浏览、打印或了解特殊资源是否存在等。,完整性（Integrity）,指所有资源只能由授权方或以授权的方式进行修改。,修改操作包括：写、替换、状态转换、删除和创建等操作。,对完整性的理解在不同的上下文中由不同的解释（侧重点不同）。,完整性的三个特殊方面：,被授权行为,资源分离和保护,错误的检测和纠正,可用性（Availability）,指

7、所有资源在适当的时候可以由授权方访问。,对请求的及时响应,公平分配资源,系统和服务的容错原理,服务和系统的便于使用,可控制并发,对立面：拒绝服务（Deny of Service）,可控性,是指保证信息和信息系统的认证授权和监控管理，确保某个实体(人或系统)身份的真实性，确保信息内容的安全性和合法性，确保系统状态可被授权方所控制。,不可抵赖性,是指信息的发送者无法否认已发出的信息或信息的部分内容，信息的接收者无法否认已经接收的信息或信息的部分内容。,不可否认性措施主要有：数字签名，可信第三方认证技术等。,其他属性,可存活性（包含在可用性之中，更强调灾难恢复、抗攻击）,可存活性是指计算机系统的这样

8、一种能力：它能在面对各种攻击或错误的情况下继续提供核心的服务，而且能够及时地恢复全部的服务。,可认证性（包含在完整性之中）,可审查性（包含在可控性之中，强调事件的再现与事后分析）,图示：机密性、完整性和可用性的关系,安全概念的发展,单机系统的信息保密阶段,网络信息安全阶段,信息保障阶段,1.,单机系统的信息保密阶段,计算机中心,安全现状：,1.,安全问题不突出，没有设计专门的安全机制。,2.,独立计算机，没有网络。,主要安全威胁：,1.,对计算中心的攻击。,2.,偷盗、破坏单机硬件。,3.,对单台主机上软件的破坏。,应对安全问题的技术措施,单机系统保护,硬件保护（防止偷盗和破坏）,硬件隔离,软

9、件保护（针对多用户系统）,逻辑隔离、,密码隔离,密码技术的应用,对称密码体制,DES,标准（,1977,年）,公钥密码体制,提出（,1976,年）,安全模型研究,BLP,模型、,BIBA,模型（,20,世纪,70,年代）,安全标准,TCSEC,（,20,世纪,80,年代）,2.,网络信息安全阶段,Internet,LAN,现状：,1.,互联网普及，安全问题突出，急待解决。,2.,已有安全机制的缺失或不足，造成了信息系统使用受阻。,3.,蠕虫等新型病毒，以及各类网络攻击出现。,4.,信息安全问题进入人们视野并开始受到重视。,主要安全威胁：,1.,来自网络的各种攻击。,2.,蠕虫、木马等新型病毒出

10、现。,3.,原有安全问题仍然存在。,应对安全问题的技术措施,系统性地，从理论研究角度建立网络安全模型。,CC,通用准则提出，替代,TCSEC,。,各种安全技术的集成使用,VLAN,防火墙技术,入侵检测技术,分层解决安全问题,防嗅探、链路加密、防电磁辐射,传输层：,SSL,网络层：,IPSEC,、,VPN,安全电子邮件,PGP,、,https,、加密、身份认证、口令密码,信息保障（,IA-Information Assurace）这一概念最初是由美国国防部长办公室提出来的，后被写入命令DoD Directive S-3600.1：Information Operation中，在1996年12月9

11、日以国防部的名义发表,。,3.信息保障阶段,信息保障的主要思想,从战略角度考虑信息安全问题,信息保障贯穿平时、危机、冲突和战争的全时域。,它采用“纵深防御”策略。,以“人”、“技术”、“操作”为要素，“人”为核心。,信息保障的发展,1996,年由美国国防部办公室提出,IA,概念。,1998年1月30日美国防部批准发布了国防部信息保障纲要(DIAP),，,认为信息保障工作全时域,的,。信息保障不仅能支持战争时期的国防信息攻防，而且能够满足和平时期国家信息的安全需求。,这时的信息保障体系被命名为,网络安全框架,（,Network Security Framework,NFS,）,信息保障的发展（续

12、1998年5月美国公布了由国家安全局NSA起草的1.0版本信息保障技术框架(Information Assurance Technical Framework,IATF)，旨在为保护美国政府和工业界的信息与信息技术设施提供技术指南。,在1999年8月31日IATF论坛发布了IATF 2.0版本,。,2000年9月22日又推出了IATF 3.0版本。,2002,年发布了,IATF 3.1,版。,信息保障框架的三要素,人,技术,操作,IATF,-,人,人,(People),：,人是信息体系的主体，是信息系统的拥有者、管理者和使用者，是信息保障体系的核心，是第一位的要素，同时也是最脆弱的。,正是

13、基于这样的认识，信息安全管理在安全保障体系中就显得尤为重要，可以这么说，信息安全保障体系，实质上就是一个安全管理的体系，其中包括意识培养、培训、组织管理、技术管理和操作管理等多个方面。,IATF,-,技术,技术,(Technology)：,技术是实现信息保障的具体措施和手段，信息保障体系所应具备的各项安全服务是通过技术来实现的。,这里所说的技术，已经不单是以防护为主的静态技术体系，而是保护(Protection)、检测(Detection)、响应(Reaction)、恢复(Restore)有机结合的动态技术体系，这就是所谓的PDRR(或称PDR2)模型(如图1-9所示)。,恢复,反应,检测,保

14、护,信息,保障,PDRR,模型,IATF,-,操作,操作,(Operation)：或者叫运行，,操作将人和技术紧密地结合在一起，涉及到风险评估、安全监控、安全审计、跟踪告警、入侵检测、响应恢复等内容。,说明,IATF,的目的与作用,帮助用户确定信息安全需求和实现他们的需求；,说明信息基础设施及其边界、,IA,框架的范围及威胁的分类和纵深防御策略,DiD,；,DiD,的深入介绍；,信息系统的安全工程过程,(ISSE),的主要内容；各种网络威胁与攻击的反制技术或反措施；,信息基础设施、计算环境与,边界,的防御；,信息基础设施的支撑,(,如密钥管理,/,公钥管理，,KMI/PKI),、检测与响应以及

15、战术环境下的信息保障问题。,IATF,主要包含：,计算机,系统安全问题的产生,计算机入侵的特点,最易渗透原则（Principle of easiest penetration ）：,一个入侵者总是企图利用任何可能的入侵手段。这种入侵没有必要通过显而易见的手段，也没有必要针对安装有最可靠的防御系统。,计算机安全专家必须考虑所有可能的入侵方式。,入侵分析必须反复进行，尤其在系统发生改变的时候。,对计算机系统的攻击（attack）,威胁、脆弱点、和控制,威胁（threat）,：潜在的、对信息系统造成危害的因素。,脆弱点（vulnerability）,：信息系统中的缺陷，安全问题的根源所在，能被攻击者

16、利用来进行破坏活动。,控制（control）,：是一些动作、装置、程序或技术，它能消除或减少脆弱点。,三者的关系,通过控制脆弱点来阻止或减少威胁。,图示：威胁、脆弱点、和控制,威胁的分类,中断,在用的信息系统毁坏或不能使用。,中断威胁的表现形式,合法用户不能正常访问网络资源,有严格时间要求的服务不能及时得到响应,摧毁系统（物理损坏）,信息源,信息目的地,信息源,信息目的地,截取,未授权方获得了访问资源的权利。,一个非授权方介入系统，使得信息在传输中被丢失或泄露。,非授权方可以是：人、程序、计算机。,截取威胁的表现形式,各种方式的窃听（电磁泄露、搭线侦听、流量分析等）,非法复制程序或数据文件,信

17、息源,信息目的地,篡改,未授权方不仅访问了系统资源而且修改了其内容。,以非法手段窃得对信息的管理权，通过未授权的创建、修改、删除和重放等操作使信息的完整性受到破坏。,篡改威胁的表现形式,改替换某段程序使之执行另外的功能（病毒），设置修改硬件。,变数据文件，如修改数据库中的信息。,信息源,信息目的地,伪造,未授权方在系统中创建假冒对象。,一个非授权方将伪造的客体插入系统中，破坏信息的可认证性(Authenticity)。,伪造威胁的表现形式,在网络通信系统中插入伪造的事务处理或者向数据库中添加记录。,信息源,信息目的地,图示：截取、中断、修改、伪造,信息系统的脆弱点,脆弱点分析从软件、硬件、数据

18、三大资源入手,主要表现在：,物理安全,软件系统,网络和通信协议,人的因素,1.物理安全硬件脆弱点,简单攻击,：增加、改变、删除、截取设备或阻塞设备。,无意的硬件破坏,：水、火、电磁辐射、灰尘、物理撞击等。机器“滥用”、“无意的机器屠杀”,有意的硬件破坏或机器自毁,。,预防手段,：,门锁和警卫系统。,例子：,便携式计算机更易于被偷盗。,2.软件脆弱点软件系统,软件删除,：意外删除文件，或存储错了文件版本破坏了前一个正确版本。,预防方法,：采用,配置管理（configuration management）,程序控制访问软件。,软件篡改,：软件被改动，造成其失败或执行并不希望的工作。,造成后果,：软

19、件崩溃（立即或延时）、扩展程序功能、木马、病毒、陷门、信息泄漏。,软件偷窃,：盗版软件。,2.软件脆弱点数据脆弱点,对数据的攻击远比对硬件和软件的攻击更广泛和严重。,数据具有更大的公众价值。,数据在上下文中具有一定的价值。,数据价值与时间的确切关系很难预见。,数据安全原则,：,适度保护原则（Principle of adequate protection）,：计算机资源在其失去价值前必须被保护。它们被保护的程度与它们的价值是一致的。,3.网络和通信协议,网络技术中的缺陷,通信协议设计中的安全漏洞,4.人的因素,人为无意识失误,人为的恶意攻击,管理上的因素,计算机系统安全防护的基本原则,整体性原

20、则,分层性原则,最小特权原则,简单性原则,整体性原则,新木桶理论,一只木桶能容纳的水量，取决于：,每一块木板的长度（木桶理论）,最短的木板决定了其最大容水量（系统瓶颈）,系统最薄弱环节的安全性决定了整个系统的安全性能,木桶是否有坚实的底板,底部的结实程度决定了容纳水量的能力,信息安全的底：密码技术、访问控制技术、安全操作系统、安全芯片技术、网络安全协议等。,木板间的结合是否紧密,安全产品之间的协同工作和联动机制的好坏决定了是否能达成最终的共同目标,分层性原则,主旨思想：纵深防御,最小特权原则,在完成某种操作时所赋予网络中每个主体（用户或进程）必不可少的特权。,给予主体“必不可少”的特权：保证任

21、务顺利完成。,只有“必不可少”的特权：限制主体的操作权限，减少不必要的错误、事故等由于权限过大而造成的负面影响。,简单性原则,越简单的东西越容易理解，出错的几率越低。,简单性意味着易于使用，易于管理。,安全性与复杂性是背道而驰的。,计算机系统安全研究的内容,计算机网络环境下的信息系统可以用层次结构来描述。,信息安全研究范畴,计算机系统安全研究内容,安全管理,信息安全立法,计算机硬件安全,主要介绍,PC机物理防护、基于硬件的访问控制技术、可信计算与安全芯片、硬件防电磁辐射技术和计算机运行环境安全问题。,操作系统安全,主要介绍操作系统的主要安全机制，包括存储保护、用户认证和访问控制技术，并介绍了,

22、Windows XP/Vista系统的安全机制。,计算机网络安全,主要介绍网络安全框架、防火墙和入侵检测系统，网络隔离技术，网络安全协议以及公钥基础设施,PKI/PMI等内容。,数据库系统安全,主要介绍数据库的安全性、完整性、并发控制、备份和恢复等安全机制。,应用系统安全,主要介绍应用系统可能受到的恶意程序攻击，因编程不当引起的缓冲区漏洞，开发安全的应用系统的编程方法、软件保护的技术措施以及安全软件工程技术。,计算机系统应急响应与灾难恢复的概念、内容及相关计算机取证、攻击源追踪技术。,介绍安全评估的国内外标准、评估的主要方法、工具、过程，最后给出一个信息系统风险度的模糊综合评估实例。,介绍计算机信息系统安全管理的目的、任务，安全管理的程序和方法，信息系统安全管理标准及其实施办法，以及我国有关信息安全的法律法规，并系统介绍了我国计算机知识产权的法律保护措施。,学习信息安全的目的,验证计算机中的安全风险,核查,考虑可行的对策或控制,应对,激发对已暴露弱点的思索,探索,确定需要加强工作的领域,加固,上述过程构成解决信息安全问题的方法,计算机的定义,计算机（,Computer,）是一种能够按照事先存储的程序，自动、高速地进行大量数值计算和各种信息处理的现代化智能电子设备。由硬件和软件所组成。,此课件下载可自行编辑修改，供参考！,感谢您的支持，我们努力做得更好！,